Pour mémoire, les données à caractère personnel sont définies comme « toute information relative à une personne physique identifiée, directement ou indirectement, par référence (…) à un ou plusieurs éléments qui lui sont propres. »
Il s’agit par exemple du prénom et du nom patronymique d’une personne, de son numéro de téléphone, de son adresse email ou encore de son adresse postale.
Le 13 mai 2014, la Cour de justice de l’Union européenne a jugé que Google est responsable de la suppression, de l’effacement et du déréférencement dans ses résultats de recherche des données des personnes et même si celles-ci sont licites et apparaissent sur des pages web publiées par des tiers (CJUE, 13 mai 2014, Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González, C-131/12)
Google Search est l’un des moteurs de recherche les plus utilisés en Occident.
Google Search est exploité par Google Inc., qui est la société mère du groupe Google et dont le siège social est établi aux États-Unis.
Google Search indexe les sites web du monde entier, parmi lesquels se trouvent les sites situés en France et ailleurs.
Les informations indexées par ses «araignées du web» ou ses robots d’indexation, c’est-à-dire des programmes informatiques utilisés pour repérer et balayer le contenu de pages web de façon méthodique et automatisée, sont stockées temporairement dans des serveurs dont l’État d’emplacement n’est pas connu, cette information étant maintenue secrète pour des raisons concurrentielles.
Parmi les données trouvées, indexées, stockées par les moteurs de recherche et mises à la disposition de leurs utilisateurs figurent également des informations concernant des personnes physiques identifiées ou identifiables et donc des « données à caractère personnel » au sens de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
En outre, il est constant que cette activité des moteurs de recherche joue un rôle décisif dans la diffusion globale desdites données en ce qu’elle rend celles-ci accessibles à tout internaute effectuant une recherche à partir du nom de la personne concernée, y compris aux internautes qui, autrement, n’auraient pas trouvé la page web sur laquelle ces mêmes données sont publiées.
De plus, l’organisation et l’agrégation des informations publiées sur Internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l’accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d’une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet leur permettant d’établir un profil plus ou moins détaillé de la personne concernée.
Dans la mesure où l’activité d’un moteur de recherche est donc susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l’exploitant de ce moteur en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.
Enfin, la circonstance que les éditeurs de sites web ont la faculté d’indiquer aux exploitants de moteurs de recherche, à l’aide notamment de protocoles d’exclusion comme «robot.txt» ou de codes comme «noindex» ou «noarchive», qu’ils souhaitent qu’une information déterminée, publiée sur leur site, soit exclue en totalité ou partiellement des index automatiques de ces moteurs ne signifie pas que l’absence d’une telle indication de la part de ces éditeurs libérerait l’exploitant d’un moteur de recherche de sa responsabilité pour le traitement des données à caractère personnel qu’il effectue dans le cadre de l’activité de ce moteur.
Partant, la cour de justice de l’Union européenne a constaté que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche «collecte» de telles données qu’il «extrait», «enregistre» et «organise» par la suite dans le cadre de ses programmes d’indexation, «conserve» sur ses serveurs et, le cas échéant, «communique à» et «met à disposition de» ses utilisateurs sous forme de listes des résultats de leurs recherches.
La cour souligne qu’il importe peu que ces données aient déjà fait l’objet d’une publication sur Internet et n’aient pas été modifiées par ce moteur de recherche.
En effet, cette circonstance ne change pas le fait que les finalités et les moyens de ce traitement sont déterminés par cet exploitant.
Par conséquent, l’exploitant d’un moteur de recherche doit être considéré comme le «responsable du traitement» des données à caractère personnel car il s’agit de « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel».
En d’autres termes, l’exploitant du moteur de recherche qui détermine les finalités et les moyens de cette activité et ainsi du traitement de données à caractère personnel qu’il effectue, lui-même, dans le cadre de celle-ci doit, par conséquent, être considéré comme le «responsable» de ce traitement.
À cet égard, il y a lieu de souligner que le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue et s’ajoute à celui effectué par les éditeurs de sites web, consistant à faire figurer ces données sur une page Internet.
Il en découle que :
« l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b) lorsque ces informations contiennent des données à caractère personnel » ;
« l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d) »
Je suis à votre disposition pour toute action ou information (en cliquant ici).
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
01 40 26 25 01
abem@cabinetbem.com